CISA legte Passwörter und Cloud-Schlüssel in einem öffentlichen GitHub-Repository offen.

CISA untersucht derzeit einen Vorfall mit offengelegten Zugangsdaten, bei dem Passwörter, Access Tokens und Cloud Keys, die mit behördlichen Systemen verknüpft sind, in einem öffentlich zugänglichen GitHub-Repository landeten. Das Problem, das zuerst von dem unabhängigen Sicherheitsreporter Brian Krebs beschrieben und später von TechCrunch aufgegriffen wurde, scheint seinen Ursprung in einem Repository zu haben, das von einem Mitarbeiter eines CISA-Auftragnehmers betrieben wurde.

Laut den Berichten entdeckte der GitGuardian-Forscher Guillaume Valadon Tabellenkalkulationen mit Klartext-Zugangsdaten, mit denen auf Systeme von CISA und dem Heimatschutzministerium zugegriffen werden konnte. Valadon gab an, dass er zumindest einen Teil der Zugangsdaten überprüft und als gültig bestätigt habe, bevor er den Vorfall meldete. Dieses Detail ist wichtig: Es handelte sich nicht um schlampig archivierte Altlasten oder veraltete Testdaten in einem vergessenen Repository. Es waren live nutzbare Zugangsdaten, die im offenen Web zugänglich waren.

Die unmittelbare Frage ist, ob jemand anderes als der Forscher die Zugangsdaten vor der Meldung gefunden und genutzt hat. Zum Zeitpunkt der Veröffentlichung hatte CISA nicht öffentlich mitgeteilt, ob es Hinweise auf einen darauf folgenden Einbruch gibt. Dennoch ist der Vorfall für sich genommen schwerwiegend. CISA ist die Bundesbehörde, die für die Verbesserung der Cyberabwehr in zivilen Regierungsnetzen zuständig ist, und sie rät anderen Organisationen regelmäßig, genau solche Praktiken zu vermeiden.

Das größere Problem ist jedoch die Governance, nicht nur ein einzelnes schlechtes Repository. Moderne Regierungssysteme sind stark auf Auftragnehmer, gemeinsame Cloud-Umgebungen und weit verzweigte Zugriffsketten angewiesen, die das Management von Secrets erschweren. Wenn Zugangsdaten in Tabellenkalkulationen statt in einem ordentlichen Secrets-Management-Workflow verwaltet werden, ist das Versagen selten auf eine einzelne Person zurückzuführen. Es deutet meist auf schwache Kontrollmechanismen, mangelnde operative Disziplin oder beides hin.

Dies kommt zu einem ungünstigen Zeitpunkt für die Behörde. CISA arbeitet seit Anfang 2025 ohne festen Direktor, und die jüngsten Personalkürzungen haben Bedenken aufkommen lassen, wie viel Aufsichtskapazität innerhalb der Organisation noch vorhanden ist. Das beweist nicht, dass die Offenlegung auf Personalmangel zurückzuführen ist, aber es verschärft die politischen und operativen Risiken. Eine Behörde, die den Ton für die Cybersicherheit des Bundes angibt, kann sich keine öffentlichen Fehler leisten, die so vermeidbar wirken.

Für Sicherheitsteams außerhalb der Regierung ist die Lektion vertraut, wird aber dennoch routinemäßig ignoriert: Secrets sollten niemals in Klartextdokumenten abgelegt werden, die in Versionskontrollsysteme, gemeinsame Laufwerke oder unkontrollierte Exporte gelangen können. Rotation, Least-Privilege-Zugriff, Repository-Scanning und auftragnehmerspezifische Kontrollen sind grundlegende Abwehrmaßnahmen, aber sie wirken nur, wenn sie konsequent durchgesetzt werden.

IRCNF stützt seine Einschätzung auf die Berichterstattung von TechCrunch über den Vorfall und den ursprünglichen Bericht von Krebs. Bis CISA offenlegt, ob die offengelegten Keys missbraucht wurden, sollte die Geschichte am besten als schwerwiegender Vorfall mit potenziell weitreichenden Folgen verstanden werden, nicht als bestätigter zerstörerischer Einbruch.